[GTER] Aplicação para Source-Based Remotely Triggered Black Hole Filtering

DMM Listas dmm.listas at gmail.com
Mon Jun 22 13:39:13 -03 2015


Olá,


Algum dos colegas conhece uma aplicação open source (difícil, mas não custa
tentar) para identificação dinâmica de endereços atacantes e que possa ser
utilizado com o recurso *Source-Based* Remotely Triggered Black Hole
Filtering?

Achei um PDF da Cisco que fala sobre o uso deste recurso, o qual utiliza a
checagem de URPF para bloqueio de endereços de origem. PDF:
http://www.cisco.com/web/about/security/intelligence/blackhole.pdf

Pelo que entendi do PDF, o bloqueio é feito com a inserção manual de rotas
no Trigger Router. O que eu gostaria de fazer era identificação dinâmica
desses endereços baseado em thresholds definidos e o envio deles via BGP
para as caixas de borda de modo que o URPF possa atuar.

A aplicação que consegui localizar que chega mais próximo do que eu
pretendo é chamada FastNetMon, mas esta não faz a identificação por origem,
apenas por destino (https://github.com/FastVPSEestiOu/fastnetmon/issues/225)
e utilizando anúncios BGP com community black-hole para o bloqueio. No meu
caso, isso não resolve o problema, haja visto que a aplicação atacada
ficará indisponível.

Já tenho proteção de ataque volumétrico na operadora. Preciso agora de uma
aplicação que possa atuar de forma mais granular.

Desde já, agradeço.

[]'s.



More information about the gter mailing list